Enviar pesquisa
Carregar
The role of_accreditation_in_conformity_assessment_in_digital_society
•
0 gostou
•
99 visualizações
Toru Yamauchi
Seguir
~JAB,ISMS-AC,JACB共催~ 「マネジメントシステム認定・認証制度」における講演資料
Leia menos
Leia mais
Negócios
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 34
Baixar agora
Baixar para ler offline
Recomendados
Penser son Système d’Information, Appréhender ses évolutions
Penser son Système d’Information, Appréhender ses évolutions
Julien Garderon
【会社概要資料】STC.pdf
【会社概要資料】STC.pdf
KosukeWada1
shikigaku.pdf
shikigaku.pdf
ssuserc7d339
識学概要資料.pdf
識学概要資料.pdf
ssuserc7d339
経営のアジリティを支えるDevOpsと組織
経営のアジリティを支えるDevOpsと組織
Recruit Technologies
Conformity assessment of trust services
Conformity assessment of trust services
Toru Yamauchi
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
Hitachi, Ltd. OSS Solution Center.
企画開発運用部門の協調とは
企画開発運用部門の協調とは
UNIRITA Incorporated
Recomendados
Penser son Système d’Information, Appréhender ses évolutions
Penser son Système d’Information, Appréhender ses évolutions
Julien Garderon
【会社概要資料】STC.pdf
【会社概要資料】STC.pdf
KosukeWada1
shikigaku.pdf
shikigaku.pdf
ssuserc7d339
識学概要資料.pdf
識学概要資料.pdf
ssuserc7d339
経営のアジリティを支えるDevOpsと組織
経営のアジリティを支えるDevOpsと組織
Recruit Technologies
Conformity assessment of trust services
Conformity assessment of trust services
Toru Yamauchi
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
Hitachi, Ltd. OSS Solution Center.
企画開発運用部門の協調とは
企画開発運用部門の協調とは
UNIRITA Incorporated
Ctcセミナープレゼン資料20111026
Ctcセミナープレゼン資料20111026
loftwork
車載ソフトウェアの品質保証のこれから
車載ソフトウェアの品質保証のこれから
Yasuharu Nishi
[第4回 AITC ブロックチェーン勉強会] Microsoft Aruze Blockchain as a Service
[第4回 AITC ブロックチェーン勉強会] Microsoft Aruze Blockchain as a Service
Naoki (Neo) SATO
Iacs securiy management system
Iacs securiy management system
Toru Yamauchi
1 開会の挨拶と本シンポジウムの意義(lhc 巽)
1 開会の挨拶と本シンポジウムの意義(lhc 巽)
ハイシンク創研 / Laboratory of Hi-Think Corporation
What is CompTIA
What is CompTIA
Yoshimura Comptia
IT VALUE EXPERTS会社案内資料
IT VALUE EXPERTS会社案内資料
IT VALUE EXPERTS Inc.
shikigku
shikigku
ssuserc7d339
組込みソフトウェア開発に対する弊社の取り組み事例
組込みソフトウェア開発に対する弊社の取り組み事例
ESM SEC
GOLDandLAPIS_Brochure_2012
GOLDandLAPIS_Brochure_2012
GOLDandLAPIS
[AC04] 『シン・ブロックチェーン』第 2 形態 ~進化する BaaS を体感せよ!
[AC04] 『シン・ブロックチェーン』第 2 形態 ~進化する BaaS を体感せよ!
de:code 2017
Clould Service for Enterprise Market
Clould Service for Enterprise Market
インフォリスクマネージ株式会社 (InfoRiskManage, Inc.)
法人認証基盤GビズIDと今後の法人KYC - OpenID BizDay #14
法人認証基盤GビズIDと今後の法人KYC - OpenID BizDay #14
OpenID Foundation Japan
情報漏えい対策だけでは済まない 最新の脅威へ立ち向かうには
情報漏えい対策だけでは済まない 最新の脅威へ立ち向かうには
Trainocate Japan, Ltd.
ITSMに起こりつつある変化とその対応 - 第17回itSMF Japan Conference講演資料(IT VALUE EXPERTS)
ITSMに起こりつつある変化とその対応 - 第17回itSMF Japan Conference講演資料(IT VALUE EXPERTS)
IT VALUE EXPERTS Inc.
JPC2018[E4]Microsoft Azure ならこうする、こうできる! ~AWS 技術者向け 最新 Microsoft Azure サービス解説...
JPC2018[E4]Microsoft Azure ならこうする、こうできる! ~AWS 技術者向け 最新 Microsoft Azure サービス解説...
MPN Japan
ソフトウェアエンジニアリング知識体系SWEBOK最新動向
ソフトウェアエンジニアリング知識体系SWEBOK最新動向
Hironori Washizaki
第5回iocj情報交換会 info scoopネットワンシステムズ様事例
第5回iocj情報交換会 info scoopネットワンシステムズ様事例
infoScoop
Why do we need the framework for IT project and operations ? what should we do ?
Why do we need the framework for IT project and operations ? what should we do ?
koichi ikeda
5W1Hで考えるCCoE.pptx
5W1Hで考えるCCoE.pptx
Tomoaki Tada
ストックマーク株式会社がお客様へご提供しているAnews概要資料のご共有.pdf
ストックマーク株式会社がお客様へご提供しているAnews概要資料のご共有.pdf
masakisaito12
シンフォニティ株式会社(SYMPHONITY , Inc.) 会社説明・人材採用資料
シンフォニティ株式会社(SYMPHONITY , Inc.) 会社説明・人材採用資料
シンフォニティ 株式会社
Mais conteúdo relacionado
Semelhante a The role of_accreditation_in_conformity_assessment_in_digital_society
Ctcセミナープレゼン資料20111026
Ctcセミナープレゼン資料20111026
loftwork
車載ソフトウェアの品質保証のこれから
車載ソフトウェアの品質保証のこれから
Yasuharu Nishi
[第4回 AITC ブロックチェーン勉強会] Microsoft Aruze Blockchain as a Service
[第4回 AITC ブロックチェーン勉強会] Microsoft Aruze Blockchain as a Service
Naoki (Neo) SATO
Iacs securiy management system
Iacs securiy management system
Toru Yamauchi
1 開会の挨拶と本シンポジウムの意義(lhc 巽)
1 開会の挨拶と本シンポジウムの意義(lhc 巽)
ハイシンク創研 / Laboratory of Hi-Think Corporation
What is CompTIA
What is CompTIA
Yoshimura Comptia
IT VALUE EXPERTS会社案内資料
IT VALUE EXPERTS会社案内資料
IT VALUE EXPERTS Inc.
shikigku
shikigku
ssuserc7d339
組込みソフトウェア開発に対する弊社の取り組み事例
組込みソフトウェア開発に対する弊社の取り組み事例
ESM SEC
GOLDandLAPIS_Brochure_2012
GOLDandLAPIS_Brochure_2012
GOLDandLAPIS
[AC04] 『シン・ブロックチェーン』第 2 形態 ~進化する BaaS を体感せよ!
[AC04] 『シン・ブロックチェーン』第 2 形態 ~進化する BaaS を体感せよ!
de:code 2017
Clould Service for Enterprise Market
Clould Service for Enterprise Market
インフォリスクマネージ株式会社 (InfoRiskManage, Inc.)
法人認証基盤GビズIDと今後の法人KYC - OpenID BizDay #14
法人認証基盤GビズIDと今後の法人KYC - OpenID BizDay #14
OpenID Foundation Japan
情報漏えい対策だけでは済まない 最新の脅威へ立ち向かうには
情報漏えい対策だけでは済まない 最新の脅威へ立ち向かうには
Trainocate Japan, Ltd.
ITSMに起こりつつある変化とその対応 - 第17回itSMF Japan Conference講演資料(IT VALUE EXPERTS)
ITSMに起こりつつある変化とその対応 - 第17回itSMF Japan Conference講演資料(IT VALUE EXPERTS)
IT VALUE EXPERTS Inc.
JPC2018[E4]Microsoft Azure ならこうする、こうできる! ~AWS 技術者向け 最新 Microsoft Azure サービス解説...
JPC2018[E4]Microsoft Azure ならこうする、こうできる! ~AWS 技術者向け 最新 Microsoft Azure サービス解説...
MPN Japan
ソフトウェアエンジニアリング知識体系SWEBOK最新動向
ソフトウェアエンジニアリング知識体系SWEBOK最新動向
Hironori Washizaki
第5回iocj情報交換会 info scoopネットワンシステムズ様事例
第5回iocj情報交換会 info scoopネットワンシステムズ様事例
infoScoop
Why do we need the framework for IT project and operations ? what should we do ?
Why do we need the framework for IT project and operations ? what should we do ?
koichi ikeda
5W1Hで考えるCCoE.pptx
5W1Hで考えるCCoE.pptx
Tomoaki Tada
Semelhante a The role of_accreditation_in_conformity_assessment_in_digital_society
(20)
Ctcセミナープレゼン資料20111026
Ctcセミナープレゼン資料20111026
車載ソフトウェアの品質保証のこれから
車載ソフトウェアの品質保証のこれから
[第4回 AITC ブロックチェーン勉強会] Microsoft Aruze Blockchain as a Service
[第4回 AITC ブロックチェーン勉強会] Microsoft Aruze Blockchain as a Service
Iacs securiy management system
Iacs securiy management system
1 開会の挨拶と本シンポジウムの意義(lhc 巽)
1 開会の挨拶と本シンポジウムの意義(lhc 巽)
What is CompTIA
What is CompTIA
IT VALUE EXPERTS会社案内資料
IT VALUE EXPERTS会社案内資料
shikigku
shikigku
組込みソフトウェア開発に対する弊社の取り組み事例
組込みソフトウェア開発に対する弊社の取り組み事例
GOLDandLAPIS_Brochure_2012
GOLDandLAPIS_Brochure_2012
[AC04] 『シン・ブロックチェーン』第 2 形態 ~進化する BaaS を体感せよ!
[AC04] 『シン・ブロックチェーン』第 2 形態 ~進化する BaaS を体感せよ!
Clould Service for Enterprise Market
Clould Service for Enterprise Market
法人認証基盤GビズIDと今後の法人KYC - OpenID BizDay #14
法人認証基盤GビズIDと今後の法人KYC - OpenID BizDay #14
情報漏えい対策だけでは済まない 最新の脅威へ立ち向かうには
情報漏えい対策だけでは済まない 最新の脅威へ立ち向かうには
ITSMに起こりつつある変化とその対応 - 第17回itSMF Japan Conference講演資料(IT VALUE EXPERTS)
ITSMに起こりつつある変化とその対応 - 第17回itSMF Japan Conference講演資料(IT VALUE EXPERTS)
JPC2018[E4]Microsoft Azure ならこうする、こうできる! ~AWS 技術者向け 最新 Microsoft Azure サービス解説...
JPC2018[E4]Microsoft Azure ならこうする、こうできる! ~AWS 技術者向け 最新 Microsoft Azure サービス解説...
ソフトウェアエンジニアリング知識体系SWEBOK最新動向
ソフトウェアエンジニアリング知識体系SWEBOK最新動向
第5回iocj情報交換会 info scoopネットワンシステムズ様事例
第5回iocj情報交換会 info scoopネットワンシステムズ様事例
Why do we need the framework for IT project and operations ? what should we do ?
Why do we need the framework for IT project and operations ? what should we do ?
5W1Hで考えるCCoE.pptx
5W1Hで考えるCCoE.pptx
Último
ストックマーク株式会社がお客様へご提供しているAnews概要資料のご共有.pdf
ストックマーク株式会社がお客様へご提供しているAnews概要資料のご共有.pdf
masakisaito12
シンフォニティ株式会社(SYMPHONITY , Inc.) 会社説明・人材採用資料
シンフォニティ株式会社(SYMPHONITY , Inc.) 会社説明・人材採用資料
シンフォニティ 株式会社
Service-introduction-materials-misorae-leadership
Service-introduction-materials-misorae-leadership
Yasuyoshi Minehisa
株式会社MAVEL会社概要_アフィリエイト広告_運用型広告_LTVを予測しLOIを最適化する広告代理店
株式会社MAVEL会社概要_アフィリエイト広告_運用型広告_LTVを予測しLOIを最適化する広告代理店
ssuserfb441f
UP103シリーズ パワーコメット ユニパー スライドレールタイプ 瓦揚げ機 ウインチ
UP103シリーズ パワーコメット ユニパー スライドレールタイプ 瓦揚げ機 ウインチ
ユニパー株式会社
ストックマーク株式会社がご提供しているAnews(エーニュース)概要紹介.pdf
ストックマーク株式会社がご提供しているAnews(エーニュース)概要紹介.pdf
masakisaito12
202405_VISIONARYJAPAN_engineerteam_entrancebook(ver2.1)
202405_VISIONARYJAPAN_engineerteam_entrancebook(ver2.1)
KayaSuetake1
20240427 zaim academy counseling lesson .pdf
20240427 zaim academy counseling lesson .pdf
ssuser80a51f
Último
(8)
ストックマーク株式会社がお客様へご提供しているAnews概要資料のご共有.pdf
ストックマーク株式会社がお客様へご提供しているAnews概要資料のご共有.pdf
シンフォニティ株式会社(SYMPHONITY , Inc.) 会社説明・人材採用資料
シンフォニティ株式会社(SYMPHONITY , Inc.) 会社説明・人材採用資料
Service-introduction-materials-misorae-leadership
Service-introduction-materials-misorae-leadership
株式会社MAVEL会社概要_アフィリエイト広告_運用型広告_LTVを予測しLOIを最適化する広告代理店
株式会社MAVEL会社概要_アフィリエイト広告_運用型広告_LTVを予測しLOIを最適化する広告代理店
UP103シリーズ パワーコメット ユニパー スライドレールタイプ 瓦揚げ機 ウインチ
UP103シリーズ パワーコメット ユニパー スライドレールタイプ 瓦揚げ機 ウインチ
ストックマーク株式会社がご提供しているAnews(エーニュース)概要紹介.pdf
ストックマーク株式会社がご提供しているAnews(エーニュース)概要紹介.pdf
202405_VISIONARYJAPAN_engineerteam_entrancebook(ver2.1)
202405_VISIONARYJAPAN_engineerteam_entrancebook(ver2.1)
20240427 zaim academy counseling lesson .pdf
20240427 zaim academy counseling lesson .pdf
The role of_accreditation_in_conformity_assessment_in_digital_society
1.
© 2021 ISMS
Accreditation Center デジタル社会を支える適合性評価制度 における認定の役割 2021年5月29日 一般社団法人情報マネジメントシステム認定センター 代表理事 山内 徹 「マネジメントシステム認定・認証制度」 講演会
2.
2 © 2021
ISMS Accreditation Center 自己紹介 山内 徹 【経歴】 ◼ 2001年 経済産業省 産業技術環境局管理システム標準化推進室長 兼 工業標準調査室長 ◼ 2008年 内閣参事官(内閣官房情報通信技術(IT)担当室) ◼ 2012年 経済産業省 産業技術環境局認証課長 ◼ 2013年 一般社団法人JPCERTコーディネーションセンター 主席研究員 ◼ 2015年 一般財団法人日本情報経済社会推進協会 常務理事 ◼ 2018年 一般社団法人情報マネジメントシステム認定センター 代表理事 ◼ 2021年 情報セキュリティ大学院大学セキュアシステム研究所 客員研究員に就任 マネジメント システム規格 の担当 適合性評価制度の担当
3.
3 © 2021
ISMS Accreditation Center ◼ 名称:一般社団法人情報マネジメントシステム認定センター(略称:ISMS-AC) (法人番号:9010405016615) ■所在地:東京都港区六本木一丁目9番9号 六本木ファーストビル内 ■設立:2018年4月2日 ■業務内容: ・マネジメントシステムの認証機関の認定 ・国際レベルの認定機関間の相互承認及び協力 ・その他当法人の目的を達成するために必要な業務 ISMS-ACの概要 *2001年より一般財団法人日本情報経済社会推進協会(JIPDEC)の一部門として認定事業を実施していた。
4.
4 © 2021
ISMS Accreditation Center 【2021年5月11日現在】 ◼ ISMS(情報セキュリティマネジメントシステム)(2002年4月~) 認定:27機関 認証組織:6,426組織 ISMSクラウドセキュリティ認証 認定:13機関 認証組織:232組織 ISMS-PIMS認証 認定:1機関 認証組織:2組織 ◼ ITSMS(ITサービスマネジメントシステム) (2007年4月~) 認定:6機関 認証組織:193組織 ◼ BCMS(事業継続マネジメントシステム)(2010年3月~) 認定:5機関 認証組織:94組織 ◼ CSMS(制御システムセキュリティマネジメントシステム)(2014年7月~) 認定:2機関 認証組織:4組織 ◼ 要員認証機関 認定:1機関 ISMS-ACの認定実績
5.
5 © 2021
ISMS Accreditation Center 本日のご説明の内容 1. デジタル社会における適合性評価の意義 2. 情報分野の主なマネジメントシステム(ISMS、ITSMS) の紹介 3. ISMS認証機関の認定基準の概要 4. 国際的な認定機関フォーラムの活動 5. 国際規格に基づく国内認定機関の役割
6.
6 © 2021
ISMS Accreditation Center デジタル社会に向けたデータ戦略 ◼ デジタル社会においては、データが国の豊かさや国際競争力の基盤。 ◼ 一方、データのローカライゼーションなど保護主義の動きも出てきて いる。 ◼ データの自由な流通(Data Free Flow with Trust:DFFT)の理念に 基づく国際的なルール作りの構築が重要。 ◼デジタル社会を支える国際標準化への参画と適合性評価 制度の確立が益々重要に!
7.
7 © 2021
ISMS Accreditation Center 日本のデータ戦略のアーキテクチャ (出典:データ戦略タスクフォース第一次とりまとめ:令和2年12月21日 デジタル・ガバメント閣僚会議決定) オンライン 上の当人認 証のこと マネジメン トシステム
8.
8 © 2021
ISMS Accreditation Center 政府情報システムのためのセキュリティ 評価制度(ISMAP) (参考:IPA「政府情報システムのためのセキュリティ評価制度」 https://www.ipa.go.jp/security/ismap/index.html) ◼ 政府のセキュリティ要求を満たすクラウドサービスを予め評価・登録する制度 *ISMAP: Information system Security Management and Assessment Program ◼ 内閣官房、総務省及び経済産業省が所管し、IPAが運用支援機関。 ISMAP管理基準 • ガバナンス基準、マネジメント基準、管理策基準 の3つで構成 • ISO/IEC 27000ファミリーの規格を基にした「ク ラウド情報セキュリティ管理基準」や「ガバナン ス基準」 クラウドサービス事業者への要求事項 ISMAP監査機関登録規則 • 監査機関の組織体制等の要件 情報セキュリティ監査基準 • 情報セキュリティ監査の監査人の規範 監査機関への要求事項 クラウドサービスの政府調達における情報セキュリティ監査の導入
9.
9 © 2021
ISMS Accreditation Center 情報分野の主なマネジメントシステム ◼デジタル化の進展の中で、組織における情報分野のマネ ジメントシステム導入への必要性は高まっている。 ITSMS (IT Service Management System) 日本語訳は、ITサービスマネジメントシステム ISMS (Information Security Management System) 日本語訳は、情報セキュリティマネジメントシステム
10.
10 © 2021
ISMS Accreditation Center ◼ データを保護するために、組織が保護すべき情報資産を洗い出し、機密性 (Confidentiality)、完全性(Integrity)、可用性(Availability)を バランスよく維持し、改善していくマネジメントシステムのこと。 ISMSとは何か? ◼ ISO/IEC 27001は、ISMSを構築・運用す るための要求事項を規定した国際規格。 ISO/IEC JTC1 SC27において、関連規格と 併せて、いわゆる27000ファミリーとして作 成されてきた。 ◼ 近年、ISO/IEC 27001に基づくISMSに取 り組む組織は、欧米、日本のみならず、中国、 インドにおいても急速に増加している。
11.
11 © 2021
ISMS Accreditation Center ◼ ITサービスの運用管理のために、ITサービスの見える化、品質向上、安定 した運用の強化に役立つマネジメントシステムのこと。 ITSMSとは何か? ◼ ISO/IEC 20000-1は、ITSMSを構 築・運用するための要求事項を規定した 国際規格。ISO/IEC JTC1 SC40にお いて、関連規格と併せて、いわゆる 20000シリーズとして作成されてきた。 ◼ DX組織として実践していくべき活動の 推進エンジンとして活用可能。
12.
12 © 2021
ISMS Accreditation Center ISMS認証を取得した組織数の推移 ◼ 日本国内のISMS認証組織数は順調に増大 (出典:https://isms.jp/lst/ind/index.html ) 144 423 852 1,583 2,168 2,646 3,176 3,465 3,783 4,030 4,243 4,493 4,620 4,827 5,152 5,497 5,797 6,086 6,358 6,426 0 1,000 2,000 3,000 4,000 5,000 6,000 7,000
13.
13 © 2021
ISMS Accreditation Center ISMS適合性評価制度とは何か? ◼ ISO/IECの国際標準の世界では、製品やサービス等について、規格 に基づいて評価することを「適合性評価(Conformity Assessment)」と呼ぶ。 ✓ 製品認証 ✓ 要員認証 ✓ マネジメントシステム認証 ✓ 試験・校正 ✓ 検査 ◼ 「ISMS適合性評価制度」は、ISMSを構築・運用する組織に対する 「マネジメントシステム認証」であって、ISMS-ACから認定を受け た適合性評価機関(認証機関)が認証を行うスキーム。
14.
14 © 2021
ISMS Accreditation Center 適合性評価機関とは何か? ◼ 適合性評価を実施する機関(Conformity Assessment Body)であり、略し てCAB(キャブ)と呼ばれる。 ◼ 欧米のCABの源流は、19世紀以降の産業の発展と密接な関係。 ✓ ドイツ発のCAB:蒸気ボイラーの安全の保障。 ✓ 米国発のCAB:万国博覧会での大量の電球使用による火災を危惧した保険会社が、電 気技師に試験方法の立案と試験実施を依頼。 ✓ 英国発のCAB:国家標準化機関から適合性評価部門等を分離独立。 (注)現代の大手適合性評価機関は多国籍企業。 ◼ 日本で創設されたCABの大半は、法規制に基づく指定検査機関等を出自と し、特定分野での活動が多く、海外への事業展開は十分に進んでいない。
15.
15 © 2021
ISMS Accreditation Center CABが満たすべき基準 ◼ 国際的な活動を行う複数のCABの力量を同等に保つために、国際標 準化機構(ISO)及び国際電気標準化会議(IEC)により、CABへの 要求事項が国際規格として作成されてきた。 ✓ 要員認証機関に対する要求事項:ISO/IEC 17024 ✓ 試験所に対する要求事項:ISO/IEC 17025 ✓ マネジメントシステム認証機関に対する要求事項:ISO/IEC 17021-1 ✓ 製品、プロセス及びサービスの認証を行う機関に対する要求事項:ISO/IEC 17065 ・・・・・・・・・・・・・・・・・ ◼ 日本では、これらの国際規格はJIS化され、国内認定機関によるCAB の認定活動に利用されている。 (注)CABは、適合性評価を実施する機関(Conformity Assessment Body)の略
16.
16 © 2021
ISMS Accreditation Center ISO/CASCOの活動 ◼ ISOの適合性評価に関する国際規格等を作成する委員会:CASCO (適合性評価委員会) ISO理事会 政策開発 委員会 技術管理 評議会 技術WG 政策グループ WG WG WG CASCO 用語及び一般原則 ISO/IEC 17000 認定機関に対する要求事項 ISO/IEC 17011 試験・校正 機関に対す る要求事項 ISO/IEC 17025 技能試験 ISO/IEC 17043 (一部省略) 検査機関 に対する 要求事項 ISO/IEC 17020 マネジメン トシステム ISO/IEC 17021-1 要員 ISO/IEC 17024 製品 ISO/IEC 17065 認証機関に対する要求事項 COPOLCO DEVCO
17.
17 © 2021
ISMS Accreditation Center 認定機関(Accreditation Body: AB) 適合性評価機関(認証機関) (Conformity Assessment Body: CAB) 組織が構築・運用する マネジメントシステム 認定基準(適合性評価機関の要求事項) ・ISO/IEC 17021-1:マネジメントシステム認証機関に対する要求事項 ・ISO/IEC 27006: 情報セキュリティマネジメントシステムの審査及び認証を行 う機関に対する要求事項 認定機関の要求事項 ISO/IEC 17011 認証基準(マネジメントシステムの要求事項) ・ISO/IEC 27001:情報セキュリティマネジメントシステム ISMS適合性評価制度の枠組
18.
18 © 2021
ISMS Accreditation Center 2000年度 通産省(当時)が「情報セキュリティ管理に関する国際的なスタンダードの導入及び情報処理サービス 業情報 システム安全対策実施事業所認定制度の改⾰について」公表 2001年度 「情報処理サービス業情報システム安全対策実施事業所認定制度」の廃止、JIPDECによるISMS適 合性評価制度のパイロット事業の開始 ISMS適合性評価制度の歴史 2002年度 ISMS適合性評価制度の本格運用の開始 2005年度 認証基準の移行(ISO/IEC 27001:2005) 2007年度 JIPDECが国際認定フォーラム(IAF)に加盟 2013年度 認証基準の移行(ISO/IEC 27001:2013) 2016年度 ISMSクラウドセキュリティ認証の開始(8月) 2018年度 ISMS-ACの設立(4月)、IAFのISMS MLA(国際相互承認協定)に加盟(7月) 2020年度 ISMS-PIMS認証の開始(12月)
19.
19 © 2021
ISMS Accreditation Center ISMS適合性評価制度の役割の変化 制度創設 • 「安対制度」の受け皿 • JIPDECによる制度の運営 BS 7799-2をベースに認証基準を策定 2005年~ • 国際規格に基づく適合性評価 ISO/IEC 27001を認証基準に • 認証機関数、認証組織数が増加 JIPDECは認定事業及び普及啓発を通じて支援 2016年~ • デジタル社会の進展への対応 ISMSセクター規格に基づく認証の開始 • 国際展開の推進 IAF/MLAの締結、APACピアエバリュエーションへの参加
20.
20 © 2021
ISMS Accreditation Center ISO/IEC JTC 1/SC 27/WG 1の概要 ◼ SC 27:情報/サイバーセキュリティ、プライバシー保護の標準化を担当する分科委員会 ISO理事会 技術管理 評議会 SC 27 WG 1 WG 2 WG 3 ISO/IEC JTC 1 ISO/ TC 1 ISO/ TC 2 ISO /TC 3 SC 2 SC 6 WG 4 WG 5 WG 1: ISMS(情報セキュリ ティマネジメントシ ステム)規格を作成 用語 要求事項 ガイドライン セクター固有の ガイドライン ISO/IEC 27001 ISMS 要求事項 ISO/IEC 27002 管理策の実践規範 ISO/IEC 27010 ISMセクター間・組織間の コミュニケーション ISO/IEC 27000 ISMS 概要及び用語 ISO/IEC 27006 ISMS認証機関に対する 要求事項 ISO/IEC 27009 27001に基づくセクター 規格作成の要求事項 ISO/IEC 27003 ISMSの手引 ISO/IEC 27004 監視、測定、分析及び 評価の手引 ISO/IEC 27005 情報セキュリティリスク マネジメントの指針 ISO/IEC 27007 ISMS監査の指針 ISO/IEC TS 27008 IS管理策の評価のための指針 ISO/IEC 27013 27001と20000-1の 統合導入についての手引 ISO/IEC 27014 情報セキュリティの ガバナンス ISO/IEC TR 27016 ISM-組織の経済的側面 ISO/IEC 27011 電気通信組織のための 情報セキュリティ管理策 ISO/IEC 27017 クラウドサービスのための 情報セキュリティ管理策 ISO/IEC 27019 エネルギー業界のための 情報セキュリティ管理策 ISO/IEC 27021 ISMS専門家の力量に関する 要求事項 サイバーセキュリティ のガイドライン他 ISO/IEC 27102 サイバー保険のための ISM指針 ISO/IEC TR 27103 サイバーセキュリティと ISO及びIEC規格 ISO/IEC TS 27100 サイバーセキュリティの 概要及びコンセプト ISO/IEC TS 27110 サイバーセキュリティ フレームワーク策定の指針 ISO/IEC TS 27022 ISMSプロセスに関する手引 ISO/IEC TS 27006-2 ISMS認証機関に対する 要求事項 第2部: PIMS
21.
21 © 2021
ISMS Accreditation Center ◼ セクター毎の情報セキュリティのための管理策の手引・管理策に 関するガイダンス規格の策定(ISO/IEC JTC 1/SC 27/WG 1) ✓ ISO/IEC 27011 電気通信事業者 ✓ ISO/IEC 27017 クラウドサービスの提供者・利用者 ✓ ISO/IEC 27019 エネルギー業界 ◼ プライバシー情報の保護のためのISMSの拡張に関する規格の策定 (ISO/IEC JTC 1/SC 27/WG 5) ✓ ISO/IEC 27018 クラウドサービスにおけるPII処理事業者 ✓ ISO/IEC 27701 PII管理者・PII処理者 ISMSセクター規格の策定 これらの規格は、主に、ISO/IEC 27002:2013 (汎用的な情報セキュリティ管理策)に基づいて作成されている。
22.
22 © 2021
ISMS Accreditation Center ◼ ISMSクラウドセキュリティ認証(ISO/IEC 27001+JIPDEC基準) ✓ISO/IEC 27017に沿ったクラウドサービスの情報セキュリティ管理の要求事項 に対応しているかを審査し、認証する。 ✓対象は、クラウドサービスを提供する、クラウドサービスプロバイダ(CSP) クラウドサービスを利用する、クラウドサービスカスタマ(CSC) ◼ ISMS-PIMS認証(ISO/IEC 27701*) ✓ISO/IEC 27701に沿って、個人情報の処理によって影響を受ける可能性のある プライバシー保護の要求事項を満たしているかを審査し、認証する。 ✓対象は、PIIを取り扱うための利用目的と手段を決定する、PII管理者 PII管理者の指示に従ってPIIを処理する、PII処理者 * ISO/IEC 27701:2019 プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張-要求事項及び指針 ISMSセクター規格に基づく認証 2つの認証のいずれも、ISMS認証が前提
23.
23 © 2021
ISMS Accreditation Center ISMSの認証機関が満たすべき基準 ◼ ISMSの認証機関は、以下の2つの要求事項への適合が求められる。 ✓ ISO/IEC 17021-1 マネジメントシステムの審査及び認証を行う機関に対する要求事項 (参考)QMSとEMSの認証機関に対する追加の要求事項 • ISO/IEC 17021-2 第2部:環境マネジメントシステムの審査及び認証に関する力量要求事項 • ISO/IEC 17021-3 第3部:品質マネジメントシステムの審査及び認証に関する力量要求事項 ✓ ISO/IEC 27006 情報セキュリティマネジメントシステムの審査及び認証を行う機関に対する 要求事項 • ISO/IEC 17021-1と同様の文書構成で、同規格の項番毎に、ISMS特有の要求事項を追加
24.
24 © 2021
ISMS Accreditation Center ISMSの認証機関が満たすべき基準 ◼疑問1 ISO/IEC 17021 に加えて、ISO/IEC 27006が作 成された理由は何か? ◼疑問2 何故、ISMSの認定基準は ISO/IEC 17021-# で はなく、ISO/IEC 27006 なのか? (類似事例)食品安全マネジメントシステム(FSMS:ISO 22000)の場合は、ISMSと同様、 ISO/IEC 17021-# ではなく、ISO/TS 22003 を認定基準として利用。
25.
© 2021 ISMS
Accreditation Center 25 ISO 9001 1987 年制定 1994 年改訂 2000年改訂 品質システムからQMSへ ISO/IEC Guide 62 1996年 制定 ISO/IEC 17021 2006年 制定 ISO/IEC Guide 66 BS77 99-1 EA 7/03 ISO/IEC 27006 ISO 14001 1999年 制定 1996年 EMS制定 2004年 改訂 BS 77 99 BS7799-2 2007年 制定 ISO/IEC Guide 62, 66に対するIAF Guidanceに基づく 2005年 制定 ISO/IEC 17799 2002年 ISMS適合性評価制度開始 ISO/IEC 17021-1 ISO/IEC 17021-3:2017※ 2008年 改訂 2015年 改訂 ISO/IEC 17021-2:2016 ※ TS版 2012 2015年 改訂 ※ 17021-2~12(TS含む)が、特定分野のMS認証要員の力量用事項として制定されている。 2011年 制定 2011年 改訂 2015年 改訂 2015年 改訂 TS版 2013 1998 年制定 2000 年制定 1995 年制定 2007年 規格番号変更 2005年 改訂 2013 年改訂 2013年 改訂 ISO/IEC 27002 ISO/IEC 27001 (改訂については、主なものだけを示している。)
26.
26 © 2021
ISMS Accreditation Center ISO/IEC 27001:2005発行に伴い早期に発行 ISO/IEC Guideを経由せず (認証基準が英国規格であったため) ISO/IEC 27006の発行の経緯(1) ◼前史:認定基準のISOガイド時代 ✓ 1996:ISO/IEC Guide 62(QMS) ✓ 1999:ISO/IEC Guide 66(EMS) ✓ ????:IAF Guidance(QMS, EMS) ✓ 2000:EA-7/03(ISMS) ◼国際規格の発行の順序 ✓ 2006:ISO/IEC 17021(ISO/IEC Guide 62 と66の統合) ✓ 2007:ISO/IEC 27006 ✓ 2012:ISO/IEC TS 17021-2(EMSの審査及び認証に関する力量要求事項) ・2016年改訂にて、IS化(ISO/IEC 17021-2:2016) ✓ 2013:ISO/IEC TS 17021-3(QMSの審査及び認証に関する力量要求事項) ・2017年改訂にて、IS化(ISO/IEC 17021-3:2017)
27.
27 © 2021
ISMS Accreditation Center ISO/IEC 27006の発行の経緯(2) ◼出自の違い ✓QMS/EMS:ISO/CASCOが認定基準を策定 ✓ISMS:欧州認定フォーラム(EA)の主導により認定基準を策定 ⚫英国規格(BS 7799-2)に基づく認証に対し、EAが実質的な 認定基準(EA 7/03)を作成 ⚫その後、EAによる認定基準をベースにして、ISO/IEC JTC1が 国際規格を作成→ISO/IEC 27006
28.
28 © 2021
ISMS Accreditation Center ISMS特有の要素 ◼認証基準(ISO/IEC 27001) ✓ リスクアセスメントの位置づけが、QMSやEMSに比較して、ISMSを運用す る組織にとっての重点の置き方が「より大きい」。 ◼認定基準(ISO/IEC 27006) ✓ ISO/IEC 27001の認証審査において、リスクアセスメントに係る審査員の 力量が詳細に規定されている。 ✓ 審査工数を導き出すための付加的指針として、ISMSの複雑さに起因する要素 (サーバー、ネットワーク、DRサイトの数など)が附属書に規定されている。
29.
29 © 2021
ISMS Accreditation Center ◼認定基準の内容 ✓ ISMS特有の要求事項として、ISO/IEC 17021-1 では明確に規定されてい ないものを認証機関に求めるため。 (例)認証文書(適用宣言書を含む。)、審査プロセス等 ◼推測される他の理由(推測?) ✓ QMSやEMS等と比較して「新しい」マネジメントシステム規格であるISMS 特有の事情があった? ✓ ISMSの認証に関するルールをコントロールしたい、(ISO/IEC JTC1に 集った)ISMSコミュニティの思惑? ISO/IEC 27006 の存在理由
30.
30 © 2021
ISMS Accreditation Center ◼ILAC及びIAFによる世界全体と地域毎のフォーラムとの二 階層構造となっている。 国際的な認定機関のフォーラム活動 EA 欧州 APAC アジア太平洋地域 IAAC 南北アメリカ ARAC アラブ諸国 AFRAC アフリカ SADCA 南アフリカ ILAC IAF 国際試験所認定協力 国際認定フォーラム 楕円は、マネジメントシステム認証
31.
31 © 2021
ISMS Accreditation Center 国際的な認定機関フォーラムへの参画 IAF(世界認定フォーラム)におけるISMS MLA署名認定機関 109認定機関メンバー中 42認定機関 APAC(アジア太平洋認定協力機構)におけるISMS MRA署名認定機関 71認定機関メンバー中 13認定機関(上記42認定機関に含まれる) オーストラリア・ニュージーランド、台湾、中国、アメリカ (2機関)、インド、UAE シンガポール、インドネシア、メキシコ、マレーシア、JAB、ISMS-AC ◼ 1998年のQMS 、2003年のEMS 等に続いて、APACにおける ISMSのMRAは、IAFに先んじて2013年に発足。 2021年5月13日現在
32.
32 © 2021
ISMS Accreditation Center ◼ MLA (MultiLateral Recognition Arrangement):国際相互承認協定 各国の認定機関による適合性評価結果の同等性を担保するため、認定機関が相互 に認定活動を評価するもの。 ・評価基準:ISO/IEC 17011(認定機関に対する要求事項)←前述 ・IAF/APACが定めた基準 ピアエバリュエーション活動の重要性 ◼ ISMS-ACのピアエバリュエーション実施実績 オーストラリア・ニュージーランド 2021年 マレーシア 2016年, 2020年 中華人民共和国 2015年, 2019年 メキシコ 2021年 インド 2020年 台湾 2013年, 2017年, 2021年 インドネシア 2020年 アメリカ 2018年
33.
33 © 2021
ISMS Accreditation Center 国際規格に基づく国内認定機関の役割 1. 国際基準の順守による認証の質の担保 ✓ 国際規格に基づく適合性評価制度により、認証の質が担保される。 ✓ 認証機関は、国際規格に沿った認定基準に基づく公平性・中立性 の高い第三者による証明に価値を見出せる 2. MLAの実現による認証の国際的な同等性 ✓ IAF MLAに加盟する認定機関による認定を受けることで、認証の 結果は国際的な同等性を確保できる。 3. 国内での完結による信頼感の維持 ✓ コスト面、利便性におけるメリット ✓ 地政学リスク等の回避(国際摩擦、巨大プラットフォーム事業者問題等)
34.
© 2021 ISMS
Accreditation Center 34 安心・安全なデジタル社会を目指し、 適合性評価制度を充実させて行きましょう! ●お問い合わせ先 一般社団法人情報マネジメントシステム認定センター (略称:ISMS-AC) 03-5860-7570 it-contact@isms.jp
Baixar agora